„compliance as a service“ auf der aws enterprise summit 2016

Compliance as a Service (CaaS) AWS Enterprise Summit

Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust ITFrankfurt, 30. Juni 2016

© direkt gruppe 2016 Seite

Ängste hemmen das Effizienzpotenzial der eigenen IT

27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service2

Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen.

Cloud-spezifische Befürchtungen

60% befürchten unberechtigten Zugriff auf sensible Daten

Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH

56% sorgen sich um die Einhaltung eigener Compliance-Anforderungen

8% berichten von Compliance-Vorfällen in der Cloud

Mit CaaS von der direkt gruppe sind Sie sicher

Verschlüsselung bewegter und ruhender Daten auch in der Cloud

Umfassender Compliance Radar sorgt für Einhaltung von Standards und Branchenanforderungen

Gebündeltes Know-how von der direkt gruppe und TÜV Trust IT sorgt dafür, dass Ihnen das NICHT passiert


Inhalt


1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung

2. Compliance as a Service in der Praxis§ Ausgangslage einer Versicherung

§ Vier Schritte zum Erfolg

§ Ergebnisdokumente

3. Resümee und Lessons Learned


Entwirrung in der Terminologie – Eingrenzung & Abgrenzung

direkt gruppe und TÜV Trust IT - Compliance as a Service27.06.164

§

INFORMATIONSECURITY

DATENSCHUTZ

§ BSI Grundschutz§ ISO 27000 Family§ COBIT§ Trusted Cloud

§ Pharma-, Finanz- und Energie Gesetzgebung

§ PCI DSS§ Solvency II, MaRisk§ StGB§ GoB

§ BDSG/EU-DSGVO§ EU Model Clauses

COMPLIANCE


Inhalt








Compliance as a Service – vier Schritte zum Erfolg


INDIVIDUALISIERUNG

ORCHESTRIERUNG

COMPLIANCE RADAR

AUDITIERUNG


CaaS – Beispiel aus der Versicherungsbranche


Aufgabenstellung

International agierender Versicherungskonzern beauftragt die direkt gruppe:

§ Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und Risikomanagement in die AWS-Cloud.

§ Voraussetzungen: Entsprechung der Anforderungen, hohe und sichere Verfügbarkeit, Wahrung der Vertraulichkeit

Erwartung und Ergebnisse

§ COMPLIANCE RADARIntegrationsleitfaden mit Beschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance Anforderungen liegt bei Projektstart vor.

§ INDIVIDUALISIERUNGDer Integrationsleitfaden wird auf den Bedarf des Kunden zugeschnitten.

§ ORCHESTRIERUNGDie Implementierung erfolgt gemäß den Anforderungen des Kunden.

§ AUDITIERUNGEs wird bestätigt, dass der Betrieb compliant zu den Anforderungen erfolgt.

Projektauftrag

Resümee & Lessons Learned

Ergebnisdokumente

COMPLIANCE RADAR

AUDITIERUNG

ORCHESTRIERUNG

INDIVIDUALISIERUNG


Compliance as a Service – „Compliance Radar“


INDIVIDUALISIERUNG

ORCHESTRIERUNG

COMPLIANCE RADAR

AUDITIERUNG

Security &ComplianceFramework

Branchen-standards

Internationale Normen

Framework zur Cloud Integration und Auditierung


Compliance Radar – Vorbereitung der direkt gruppe


Regularien: Kontinuierliche Aufrechterhaltung der Aktualität (Radar)§ Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen

§ Versicherungsspezifische Aufnahme von Anforderungen aus Regularien § Aufnahme geeigneter Maßnahmen in den IntegrationsleitfadenCOMPLIANCE RADAR

AUDITIERUNG

ORCHESTRIERUNG

INDIVIDUALISIERUNG

Projektauftrag


Ergebnisdokumente

Implementationsleitfaden CaaS –Projekt-Spezifika Versicherungskunde

Standards realisiert§ ISO 27001/27002

§ BSI Grundschutz§ TÜV Trust IT Trusted

Cloud

Aufnahme Projekt Spezifika:§ Solvency II

§ MaRisk (BaFin)§ AWS best practices

Dokumente:

COMPLIANCE RADAR

Security &ComplianceFramework

B ra n c h e n -s ta n d a rd s In te rn a tio n a le N o rm e nF ra m e w o rk z u r C lo u d In te g ra tio n u nd A ud itie ru ng


Compliance as a Service – „Individualisierung“


INDIVIDUALISIERUNG

ORCHESTRIERUNG

COMPLIANCE RADAR

AUDITIERUNG

Schutzbedarfs-feststellung

Cloud IntegrationsLeitfaden

Ableitung TOMsund Anforderungen

an Verträge

ZielorientierteAnalyse


Individualisierung – Aufnahme der kundenspezifischen Anforderungen


Feststellung spezieller Anforderungen aus Prozessen und Applikationen§ Stakeholder: Konzern Security, Datenschutz, Revision, Compliance, Legal

§ Schutzbedarfsfeststellungen für Applikationen und Daten§ Ableitung individueller Anforderungen und Aufnahme von Maßnahmen

§ Anpassung des Leitfadens in Abstimmung auf Kunden- und TeamseiteCOMPLIANCE RADAR

AUDITIERUNG

ORCHESTRIERUNG

INDIVIDUALISIERUNG

Projektauftrag


Ergebnisdokumente

Individualisierung Implementationsleitfaden§ Konzern Policies: Informationssicherheit, Datenschutz, Compliance

§ Applikationen: Prophet Professional 8, FIRM, Igloo, (weitere Applikationen)§ Verträge

Schutzbedarfe:§ Vertraulichkeit

§ Integrität§ Verfügbarkeit

§ Nachvollziehbarkeit

Schutzniveaus:§ 4-stufig

Ergebnisse:§ Verfügbarkeit:

- sehr hoch = Ausfall < 4 Stunden§ Vertraulichkeit:

- Hoch/sehr hoch = Verschlüsselung§ Sichere Anbindung, kein direkter Internet-

Zugang

Dokumente:


Compliance as a Service – „Orchestrierung“


INDIVIDUALISIERUNG

ORCHESTRIERUNG

COMPLIANCE RADAR

AUDITIERUNG

Umsetzung TÜV Best Practices

Know-how Transfer

Cloud Implemen-tierung und

Automatisierung

Implementierungder TrustedProcedures


Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen


COMPLIANCE RADAR

AUDITIERUNG

ORCHESTRIERUNG

Projektauftrag


Ergebnisdokumente

INDIVIDUALISIERUNG

Ablauf Orchestrierung§ Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs

Beteiligt: Projektteam Kunde, direkt gruppe: Team „Compliance & Security“, Team „Orchestrierung“§ Technische Maßnahmen werden durchgängig automatisiert

§ Roadmap schafft Transparenz und Verbindlichkeit für alle Stakeholder

Orchestrierung – Besonderheiten Compliance bedingt:§ Betrieb der AWS-Cloud erfolgt final am Standort Frankfurt/Main

§ Bewegte und ruhende Daten mit Vertraulichkeit = hoch sind zu verschlüsseln§ Applikationen mit Verfügbarkeit = sehr hoch werden redundant ausgelegt

Genutzte Tools:§ AWS Web Access

§ ServiceNow§ Microsoft SC

Orchestrator


Compliance as a Service – „Auditierung“


INDIVIDUALISIERUNG

ORCHESTRIERUNG

COMPLIANCE RADAR

AUDITIERUNG

CloudZertifikate

BAFIN SOLVENCY Compliance

ISO27001(27017/27018)

Vorbereitungund

Zertifizierung


Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten


COMPLIANCE RADAR

AUDITIERUNG

Projektauftrag


Ergebnisdokumente

INDIVIDUALISIERUNG

Auditierung: Self Assessments und externe Zertifizierung§ In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der

Compliance Anforderungen angepasst und aktuell gehalten.§ Die Cloud Orchestration Platform protokolliert alle Aufträge, Zugriffe und Veränderungen automatisch.

§ Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung.

Auditierung – der Kunde erhält ein zertifizierungsfähiges Ergebnis§ Kontinuierliche Aktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für

ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung.

ORCHESTRIERUNG


Projektauftrag


Schutzbedarfsfeststellung Implementationsleitfaden Application Catalog

Roadmap Überblick Applikationen Checkliste IT-Security

Automatisierung Compliance Check Zertifikate

Ergebnisdokumente

Compliance as a Service – Ergebnisdokumente


COMPLIANCE RADAR

AUDITIERUNG

ORCHESTRIERUNG

INDIVIDUALISIERUNG


Inhalt








Compliance as a Service – Resümee und Erkenntnisse


Projektauftrag


Ergebnisdokumente

COMPLIANCE RADAR

AUDITIERUNG

ORCHESTRIERUNG

INDIVIDUALISIERUNG

Projekterfahrungenü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen

werdenü Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und

damit verbundenen Mehraufwandü Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und

Mehraufwände zu vermeidenü Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden,

um den Aufwand für die Zertifizierung gering zu haltenü Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht

werden können

direkt gruppe Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg Köln I Holzmarkt 2 I 50676 KölnMünchen I Landaubogen 1 I 81373 MünchenTel. +49 40 88155-0 I Fax +49 40 [email protected] I www.direkt-gruppe.de

www.youtube.com/user/direktgruppe

www.facebook.com/direktgruppe

www.direkt-gruppe.de/xing

Vielen Dank für Ihre Aufmerksamkeit!

„compliance as a service“ auf der aws enterprise summit 2016

Technology